SSL证书服务器名称是如何解析的/我可以使用keytools添加其他名称吗?
为了清楚起见,这些问题的措辞可能是不同的,但它们都与同一问题有关。
SSL证书服务器名称是如何解析的?
为什么浏览器似乎使用证书的cn字段,而Java的机制似乎只关注“Subject Alternative Name”?
是否可以使用KeyTool向SSL证书添加其他名称?如果没有,那么使用OpenSSL代替OpenSSL是一个好的选择吗?
只是一些背景:我需要一个主服务器来使用HTTPS与多个服务器进行通信。显然,我们不想为每个服务器购买SSL证书(可能有很多),所以我想使用自签名证书(我一直在使用KeyTool来生成它们)。在我将证书添加到操作系统中后,浏览器(IE和Chrome)很高兴地接受连接为受信任的。但是,即使在将证书添加到Java的仙人掌之后,Java仍然不会接受信任的连接,并抛出以下异常:
引发原因:java.security.cert.CertificateException:在sun.security.util.HostnameChecker.matchIP(HostnameChecker.java:142)at sun.security.util.HostnameChecker.match(HostnameChecker.java:75)at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkIdentity(X509T rustManagerImpl.java:264)com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509 TrustManagerImpl.java:250)com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(Clien tHandshaker.java:1185).
我发现我可以让Java信任实现我自己的HostNameVerifier的证书,我从这里复制了该证书:com.sun.jbi.internal.security.https.DefaultHostnameVerifier只是为了测试(顺便说一下,作为参数传递给HostnameVerifier的主机名是正确的,所以我认为它应该被接受)。
我一直使用证书字段cn作为主机名(通常是IP地址)。
有人能告诉我,如果我做错了什么,并指出我的正确方向吗?